BackDoor.SpyBotNET.79

SHA1-хеш:

• c402d069a92bbc552c3ac6497547e10f45aca4f3

Описание

Троянская программа-шпион, написанная на языке C# и работающая на компьютерах под управлением ОС семейства Microsoft Windows. Она прослушивает пользователей через доступные на зараженных устройствах микрофоны и в момент обнаружения разговоров записывает аудиоданные в специальные файлы.

Принцип действия

Инициализация

При инициализации троян загружает настройки из файла конфигурации и создает рабочую директорию с именем, которое в них указано. В дальнейшем в эту директорию будут записываться файлы вредоносного приложения.

Логирование действий

Троян логирует все обнаруженные в системе устройства ввода аудиосигнала (микрофоны), сохраняя информацию о них в файл cl.bindb. В первой строке этого файла указывается версия сборки вредоносного приложения. Далее следует список обнаруженных устройств, состоящий из строк c данными вида Device <index>: <name>, <channels_count> channels, где:

• <index> ― номер устройства в списке;
• <name> ― имя устройства;
• <channels_count> ― количество аудиоканалов.

Пример записанных данных:

Вредоносная программа в постоянном режиме прослушивает окружение через микрофон, записывая в оперативную память блок данных с информацией о звуке. Средняя величина полученных байт в блоке помещается в файл wd.bindb. Пример:

В файле db.bindb хранится история округленных средних значений записанных байт из файла wd.bindb. Пример:

Полученные значения интенсивности звука сравниваются с заданным значением в файле конфигурации, что позволяет трояну отличать речь от молчания. Запись аудио в файл осуществляется только в момент, когда происходит разговор.

Непосредственно аудиозапись выполняется в файл с именем вида <prefix><current_time><suffix_rec>, где:

• <prefix> ― константа, прописанная в конфигурации;
• <current_time> ― текущее время (в формате yyyyMMddHHmmss);
• <suffix_rec> ― константа, прописанная в конфигурации.

Индикаторы компрометации

Новость о трояне